Вирусы для мобильников
- Автор темы X-Shar
- Дата начала
- Регистрация
- 16.08.2013
- Сообщения
- 188
- Репутация
Угроза найдена в картинке формата .png Никогда с таким не сталкивался за всё время пользования разными антивирусными программами для Android. Даже самому интересно, возможно ли такое?...
Пароль к архиву: [HIDE=25]infected[/HIDE]
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Да интересно, а к нему больше ничего не идёт, ведь если запустит картинку, она будет как каритинка-же ?
А что-бы исполнить её, ещё что-то нужно, так-просто картинку не исполнить-же ?
А может вообще ложняк-нет ?
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- Регистрация
- 16.08.2013
- Сообщения
- 188
- Репутация
X-Shar, ответ на форуме Dr.Web: "...картинка, конечно, не представляет опасности, но это и не ложное срабатывание. в данном случае детект по картинке позволяет более эффективно ловить разные модификации этого локера." Интересный подход в ВирЛабе Dr.Web. Сейчас, оказывается, появилось достаточно большое количество этого локера + чуть ли не каждый день появляются его модификации, но при блокировке смартфона на экране появляется именно эта картинка. Так понимаю, что решили сделать детект этой угрозы по этому .png , в случае, если Dr.Web не определит модификацию угрозы по сигнатурным базам ( или как там ещё определяют антивирусы для Андроид ). )))
- Регистрация
- 16.08.2013
- Сообщения
- 188
- Репутация
После успешной инсталляции Android.Titan.1 помещает на главный экран мобильного устройства свой ярлык и ждет, когда владелец зараженного Android-смартфона или планшета собственноручно запустит троянца. При первом успешном старте вредоносного приложения этот ярлык удаляется, а вредоносная программа продолжает свою работу в скрытом режиме. Одновременно с этим из памяти устройства стирается последний СМС-диалог жертвы, который в большинстве случаев будет представлен тем самым спам-сообщением, благодаря которому троянец и попал на целевое устройство. В дальнейшем Android.Titan.1 функционирует уже без участия пользователя и самостоятельно начинает свою активность, загружаясь вместе с операционной системой.
Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.
Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.
В ответ от сервера вредоносная программа может получить одну из следующих команд:
• запустить сервис, выполняющий поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
• запустить сервис, выполняющий подмену телефонных номеров в адресной книге мобильного устройства;
• изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
• запустить сервис, предназначенный для отправки СМС-сообщения с заданными в команде параметрами;
• запустить сервис, предназначенный для совершения телефонного звонка на заданный номер (при выполнении звонка экран устройства блокируется аналогично блокировке в режиме ожидания);
• отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
• запустить сервис, предназначенный для демонстрации в панели уведомлений заданного сообщения и сопровождающего его изображения.
Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.
Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.
Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.
Главная особенность данного троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае сAndroid.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.
Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.
Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.
В ответ от сервера вредоносная программа может получить одну из следующих команд:
• запустить сервис, выполняющий поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
• запустить сервис, выполняющий подмену телефонных номеров в адресной книге мобильного устройства;
• изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
• запустить сервис, предназначенный для отправки СМС-сообщения с заданными в команде параметрами;
• запустить сервис, предназначенный для совершения телефонного звонка на заданный номер (при выполнении звонка экран устройства блокируется аналогично блокировке в режиме ожидания);
• отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
• запустить сервис, предназначенный для демонстрации в панели уведомлений заданного сообщения и сопровождающего его изображения.
Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.
Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.
Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.
Главная особенность данного троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае сAndroid.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.
- Регистрация
- 16.08.2013
- Сообщения
- 188
- Репутация
Сейчас многие сайты просто завалены файлами с этим видом угрозы. Особенно 7ba.
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
carioca_cat, огромное спасибо за вирусы, а ещё есть ?
Я тут решил немного перестроить форум, в частности что-бы твои труды не затерялись здесь и было легче искать, появился "Менеджер ресурсов", я перенесу твои посты туда...
Вот так будет выглядеть:https://ru-sfera.pw/resources/android-titan-1.5/
Поэтому если есть вирусы выкладывай здесь:https://ru-sfera.pw/resources/categories/ugrozy-dlja-mobilnyx-ustrojstv.6/
Через "Добавить ресурс"...
Пока в стадии доработки ещё...
Чтобы скрыть в хайд, либо пока вторым сообщением, или во вкладке "Обсуждение" также можно, короче пока работаю над этим, есть ещё лаги нужно поправить будет...
Я тут решил немного перестроить форум, в частности что-бы твои труды не затерялись здесь и было легче искать, появился "Менеджер ресурсов", я перенесу твои посты туда...
Вот так будет выглядеть:https://ru-sfera.pw/resources/android-titan-1.5/
Поэтому если есть вирусы выкладывай здесь:https://ru-sfera.pw/resources/categories/ugrozy-dlja-mobilnyx-ustrojstv.6/
Через "Добавить ресурс"...
Пока в стадии доработки ещё...
Чтобы скрыть в хайд, либо пока вторым сообщением, или во вкладке "Обсуждение" также можно, короче пока работаю над этим, есть ещё лаги нужно поправить будет...
- Регистрация
- 22.02.2014
- Сообщения
- 672
- Репутация
насобирал тут не пойми чего,ну так шо на глаз попало 150м 57шт
[hide=15]
пасс: carioca_cat
[/hide]
[hide=15]
пасс: carioca_cat
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
[/hide]
